8. Vad innebär den nya dataskyddsförordningen för er? Kunskapsdagen Malmö
Bakgrund Varför behövdes det nya regler? Olika regler inom EU Dataskyddslagarna inom EU är olika i varje land, trots att de bygger på samma Dataskyddsdirektiv från 1995 Teknisk utveckling Dataskyddsdirektivet från 1995 hade inte hängt med i den tekniska utvecklingen, med internet, laptops, smart phones, sociala medier, sökmotorer, direktmarknadsföring och big data som medförde att många affärsidéer bygger på användning och analys av personuppgifter Ny Dataskyddsförordning Minskade kostnader Gemensamma regler i EU:s medlemsstater beräknades minska kostnaderna för företagen på 2,3 miljarder Euro per år Privatpersoners integritet Man ville stärka privatpersoners rättigheter, förenkla och ge dem bättre kontroll över sina personuppgifter 2
Tidslinje Nov 2017 2012-2018 2018 Jan 2012 EU-kommissionen Maj 2016 GDPR formellt införd inom EU 2016-2018 Två års genomförandetid Maj 2018 GDPR ersätter PUL PwC 3
Vad är personuppgifter? Exempel Namn, email, adress, telefonnummer Personnummer CV och prestationsutvärderingar Telefonnummer, Epost och annan kontaktinfo Foto och Videoinspelning GPS eller positionsdata Löneinformation Kreditinformation, Inkassoärenden och mycket mer... 4
Vad är känsliga personuppgifter? Ras/etniskt ursprung Politisk åsikt Religion Fackligt medlemskap Hälsoinformation Sexuell läggning Filosofisk övertygelse Genetisk och biometrisk data 5
Specifika krav i förordningen Rätten att bli glömd Företag ska radera personuppgifter på den registrerades begäran utan onödigt dröjsmål. Inbyggt dataskydd System och teknik i hela organisationen bör utformas på ett sådant sätt att datainsamling begränsas, data sparas säkert och åtkomstkontroll finns. Rätten att bli glömd Inbyggt dataskydd Obligatorisk redovisning av överträdelser Meddela tillsynsmyndighet vid personuppgiftsbrott senast 72 timmar efter att bolaget konstaterat detta. Dataportabilitet Ny Dataskyddsförordning Rapportering av personuppgiftsbrott Dataportabilitet En individ kan på begäran få ett komplett utdrag av dennes personuppgifter i ett strukturerat format Samtycke Risk och konsekvensanalys Samtycke Samtycke måste vara frivilliga och skall vara lika enkla att ta tillbaka som de är att ge. Risk- & konsekvensanalys Företag måste utföra analyser av integritetsrisker när användning och behandling av personuppgifter utgör en "risk mot individers friheter och rättigheter. 6
Viktiga roller Personuppgiftsansvarig Roll i verksamheten som ansvarar för en rättvis, öppen och säker insamling och användning av personuppgifter. Dataskyddsombud Ett dataskyddsombud som ser till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen. Personuppgiftsbiträde Extern part som har tillgång till, lagrar och "använder" personuppgifter på uppdrag av en som omfattas av förordningen. PwC 7
Risker Regulatorisk risk Ryktesrisk Finansiell risk Operationell risk 8
Principerna PwC 9
Var ska man initialt börja? Medvetande Kunskapsinhämtning Interndialog/utbildning Utse ansvariga/rekrytera Initiera ett projekt Involvera ledningen Budget Gapanalys Planera arbetat Besluta om extern involvering Genomföra gapanalysen PwC 10
Länkar till mer information Mer information och vägledning kring den nya dataskyddsförordningen http://info.pwc.se/dataskyddsforordningen http://pwc.blogs.com/data_protection/ Personuppgiftslagen i sin helhet http://www.riksdagen.se/sv/dokument-lagar/dokument/svenskforfattningssamling/personuppgiftslag-1998204_sfs-1998-204 Nya Dataskyddsförordningen i sin helhet http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/ PwC 11
Tack Mats Andersson Partner Mats.andersson@pwc.com 070-929 27 03 2017 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, PwC refers to PricewaterhouseCoopers i Sverige AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.